Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Mail forzate
116 views
Skip to first unread message
Luigi Derossi
May 5, 2023, 5:21:02 AM5/5/23
to
Ricevo 2 mail da Twitter (su cui ho aperto un account usandolo una sola volta molti mesi fa).
La prima dice: per ragioni di sicurezza per entrare nel tuo account inserisci il codice XYZ
La seconda un minuto dopo dice: c’è stato un accesso al tuo account da un nuovo dispositivo (un iphone localizzato in USA)
Siccome l’accesso è avvenuto un minuto dopo che hanno inviato il codice di sicurezza, devo dedurre che qualcuno legge la mia posta. E’ giusto?
Se fin qui è giusto il qualcuno conosce la password. Escluderei la presenza di un keylogger, che sarebbe stato segnalato dall'antivirus. La password è memorizzata nel browser (Opera) ma per scoprirla ci vorrebbe uno spyware e sarebbe stato segnalato dall'antivirus. La cosa mi fa pensare a un bruteforce della password, considerato anche che la mail (Tiscali) non ha questa protezione. Concordate?
La prima dice: per ragioni di sicurezza per entrare nel tuo account inserisci il codice XYZ
La seconda un minuto dopo dice: c’è stato un accesso al tuo account da un nuovo dispositivo (un iphone localizzato in USA)
Siccome l’accesso è avvenuto un minuto dopo che hanno inviato il codice di sicurezza, devo dedurre che qualcuno legge la mia posta. E’ giusto?
Se fin qui è giusto il qualcuno conosce la password. Escluderei la presenza di un keylogger, che sarebbe stato segnalato dall'antivirus. La password è memorizzata nel browser (Opera) ma per scoprirla ci vorrebbe uno spyware e sarebbe stato segnalato dall'antivirus. La cosa mi fa pensare a un bruteforce della password, considerato anche che la mail (Tiscali) non ha questa protezione. Concordate?
ObiWan
May 5, 2023, 6:24:15 AM5/5/23
to
:: On Fri, 5 May 2023 02:21:00 -0700 (PDT)
:: (it.comp.sicurezza.varie)
:: <ccdf8182-29af-440d...@googlegroups.com>
per il resto, cambia le password e magna tranquillo
:: (it.comp.sicurezza.varie)
:: <ccdf8182-29af-440d...@googlegroups.com>
:: Luigi Derossi <saba...@gmail.com> wrote:
> dall'antivirus. La cosa mi fa pensare a un bruteforce della password,
> considerato anche che la mail (Tiscali) non ha questa protezione.
https://haveibeenpwned.com/
> dall'antivirus. La cosa mi fa pensare a un bruteforce della password,
> considerato anche che la mail (Tiscali) non ha questa protezione.
per il resto, cambia le password e magna tranquillo
ObiWan
May 5, 2023, 6:25:27 AM5/5/23
to
:: On Fri, 5 May 2023 12:24:11 +0200
:: (it.comp.sicurezza.varie)
:: <20230505122...@mvps.org>
https://haveibeenpwned.com/Passwords
:: (it.comp.sicurezza.varie)
:: <20230505122...@mvps.org>
:: ObiWan <obi...@mvps.org> wrote:
>
> https://haveibeenpwned.com/
>
> per il resto, cambia le password e magna tranquillo
a proposito di password
>
> https://haveibeenpwned.com/
>
> per il resto, cambia le password e magna tranquillo
https://haveibeenpwned.com/Passwords
Luigi Derossi
May 5, 2023, 2:58:18 PM5/5/23
to
Il giorno venerdì 5 maggio 2023 alle 12:24:15 UTC+2 ObiWan ha scritto:
> https://haveibeenpwned.com/
> per il resto, cambia le password e magna tranquillo
Ok grazie. Sembra sia stata violata ma non capisco bene cosa dice e i termini precisi mancano sia sul traduttore che sul dizionario.
> https://haveibeenpwned.com/
> per il resto, cambia le password e magna tranquillo
Dice: "Pwned in 3 data breaches and found no pastes" come si traduce precisamente?
Poi sono andato sull'altro link che hai messo, ho inserito la pwd scoperta e dice
"Good news — no pwnage found"
allora non capisco: se ha capito che la password è stata scoperta perchè poi aggiunge "no pawngage found" (che poi che vuol dire pwnage?)
rootkit
May 5, 2023, 4:33:20 PM5/5/23
to
Il Fri, 5 May 2023 11:58:17 -0700 (PDT), Luigi Derossi ha scritto:
> Il giorno venerdì 5 maggio 2023 alle 12:24:15 UTC+2 ObiWan ha scritto:
>
>> https://haveibeenpwned.com/
>> per il resto, cambia le password e magna tranquillo
>
> Ok grazie. Sembra sia stata violata ma non capisco bene cosa dice e i
> termini precisi mancano sia sul traduttore che sul dizionario.
> Dice: "Pwned in 3 data breaches and found no pastes" come si traduce
> precisamente?
significa che l'indirizzo email è stato "trafugato" in tre data breach. se
> Il giorno venerdì 5 maggio 2023 alle 12:24:15 UTC+2 ObiWan ha scritto:
>
>> https://haveibeenpwned.com/
>> per il resto, cambia le password e magna tranquillo
>
> Ok grazie. Sembra sia stata violata ma non capisco bene cosa dice e i
> termini precisi mancano sia sul traduttore che sul dizionario.
> Dice: "Pwned in 3 data breaches and found no pastes" come si traduce
> precisamente?
scorri sotto dovresti vedere anche quali.
attenzione che non è l'informazione che cerchi! non ti dice se la mailbox
è stata violata bensì ti dice se l'indirizzo e-mail è stato trovato in un
archivio proveniente da un "furto" dati in un sito dove tu hai usato
quella e-mail per registrarti.
come conseguenza dovresti andare nei siti risultanti dalla ricerca e
cambiare la password.
> Poi sono andato sull'altro link che hai messo, ho inserito la pwd
> scoperta e dice "Good news — no pwnage found"
>
> allora non capisco: se ha capito che la password è stata scoperta perchè
> poi aggiunge "no pawngage found" (che poi che vuol dire pwnage?)
nel secondo motore di ricerca dovresti aver messo la password che sospetti
possa essere compromessa. avesse risposto in modo positivo avresti avuto
la certezza che la password è fra quelle conosciute, quindi da non usare e
se la stai usando da cambiare quanto prima (ovviamente). però anche qui
non risponde alla tua domanda.
Luigi Derossi
May 6, 2023, 4:06:05 PM5/6/23
to
Il giorno venerdì 5 maggio 2023 alle 22:33:20 UTC+2 rootkit ha scritto:
> > allora non capisco: se ha capito che la password è stata scoperta perchè
> > poi aggiunge "no pawngage found" (che poi che vuol dire pwnage?)
> no, appunto stai facendo confusione.
>
> nel secondo motore di ricerca dovresti aver messo la password che sospetti
> possa essere compromessa. avesse risposto in modo positivo avresti avuto
> la certezza che la password è fra quelle conosciute, quindi da non usare e
> se la stai usando da cambiare quanto prima (ovviamente). però anche qui
> non risponde alla tua domanda.
Beh… no. Supponendo che il motore di ricerca sia preciso, se metto la password della mail che ritengo trafugata e lui mi dice di no, allora risponde alla mia domanda (qualcuno conosce la passord della mia mail?).
> > allora non capisco: se ha capito che la password è stata scoperta perchè
> > poi aggiunge "no pawngage found" (che poi che vuol dire pwnage?)
> no, appunto stai facendo confusione.
>
> nel secondo motore di ricerca dovresti aver messo la password che sospetti
> possa essere compromessa. avesse risposto in modo positivo avresti avuto
> la certezza che la password è fra quelle conosciute, quindi da non usare e
> se la stai usando da cambiare quanto prima (ovviamente). però anche qui
> non risponde alla tua domanda.
Ma sulla mia domanda mi pare ci sia poco da discutere. Se qualcuno si è loggato sul mio account twitter inserendo un codice che è arrivato sulla mia mail, mi sembra logico che abbia accesso alla mia mail.
rootkit
May 6, 2023, 5:37:33 PM5/6/23
to
Il Sat, 6 May 2023 13:06:04 -0700 (PDT), Luigi Derossi ha scritto:
>> nel secondo motore di ricerca dovresti aver messo la password che
>> sospetti possa essere compromessa. avesse risposto in modo positivo
>> avresti avuto la certezza che la password è fra quelle conosciute,
>> quindi da non usare e se la stai usando da cambiare quanto prima
>> (ovviamente). però anche qui non risponde alla tua domanda.
>
> Beh… no. Supponendo che il motore di ricerca sia preciso, se metto la
> password della mail che ritengo trafugata e lui mi dice di no, allora
> risponde alla mia domanda (qualcuno conosce la passord della mia mail?).
non proprio. se non la trova è una non-risposta, vuol dire che non è
>> nel secondo motore di ricerca dovresti aver messo la password che
>> sospetti possa essere compromessa. avesse risposto in modo positivo
>> avresti avuto la certezza che la password è fra quelle conosciute,
>> quindi da non usare e se la stai usando da cambiare quanto prima
>> (ovviamente). però anche qui non risponde alla tua domanda.
>
> Beh… no. Supponendo che il motore di ricerca sia preciso, se metto la
> password della mail che ritengo trafugata e lui mi dice di no, allora
> risponde alla mia domanda (qualcuno conosce la passord della mia mail?).
presente negli archivi resi pubblici e niente più. una password che è
stata sottratta tramite phishing o un qualsiasi altro attacco mirato
all'utente non la trovi lì. e credimi, se è vero che l'account di posta è
stato violato le credenziali le hanno ottenute sottraendole a te, non al
server.
> Ma sulla mia domanda mi pare ci sia poco da discutere. Se qualcuno si è
> loggato sul mio account twitter inserendo un codice che è arrivato sulla
> mia mail, mi sembra logico che abbia accesso alla mia mail.
dato alla domanda.
Luigi Derossi
May 7, 2023, 4:13:18 AM5/7/23
to
Il giorno sabato 6 maggio 2023 alle 23:37:33 UTC+2 rootkit ha scritto:
> e credimi, se è vero che l'account di posta è
> stato violato le credenziali le hanno ottenute sottraendole a te, non al
> server.
Ecco questo è il vero problema. Invece secondo me le hanno sottratte al server.
> e credimi, se è vero che l'account di posta è
> stato violato le credenziali le hanno ottenute sottraendole a te, non al
> server.
E' mai possibile che Tiscali, che non è neppure l'ultimo arrivato, abbia una mail con molti pregi ma nella quale si possano inserire un numero indefinito di password sbagliate senza che al 4°-5° tentativo chieda ulteriore conferme e neppure avvertano con una mail tipo "ci sono stati 5 tentativi di entrare nella tua mail" ? Praticamente col bruteforce, uno può tentare anche più giorni io neppiure lo so e prima o poi la trova.
Quando li ho chiamati mi hanno risposto che la mail va in blocco se "l'ip da cui arrivano i tentativi è sospetto". Ma che risposta è? Come fanno a distinguere gli ip sospetti da quelli non sospetti?
rootkit
May 7, 2023, 6:13:03 AM5/7/23
to
Il Sun, 7 May 2023 01:13:16 -0700 (PDT), Luigi Derossi ha scritto:
> Il giorno sabato 6 maggio 2023 alle 23:37:33 UTC+2 rootkit ha scritto:
>> e credimi, se è vero che l'account di posta è stato violato le
>> credenziali le hanno ottenute sottraendole a te, non al server.
>
> Ecco questo è il vero problema. Invece secondo me le hanno sottratte al
> server.
rileggendo e vedendo che si tratta di tiscali effettivamente non sarebbe
> Il giorno sabato 6 maggio 2023 alle 23:37:33 UTC+2 rootkit ha scritto:
>> e credimi, se è vero che l'account di posta è stato violato le
>> credenziali le hanno ottenute sottraendole a te, non al server.
>
> Ecco questo è il vero problema. Invece secondo me le hanno sottratte al
> server.
da escludere, visto che in passato anche recente erano state segnalate
evidenze che si salvavano la password in chiaro (https://tinyurl.com/
28wd8z3v). tuttavia avresti dovuto vedere come risultato della prima
ricerca la tua mail coinvolta in un data breach di tiscali.
inoltre c'è un altra possibilità, ovvero che tu abbia usato la stessa
password, o una molto simile, su un altro sito.
> E' mai possibile che Tiscali, che non è neppure l'ultimo arrivato, abbia
> una mail con molti pregi ma nella quale si possano inserire un numero
> indefinito di password sbagliate senza che al 4°-5° tentativo chieda
> ulteriore conferme e neppure avvertano con una mail tipo "ci sono stati
> 5 tentativi di entrare nella tua mail" ? Praticamente col bruteforce,
> uno può tentare anche più giorni io neppiure lo so e prima o poi la
> trova.
fattibile, non basterebbe la vita dell'universo altro che giorni. un brute
force lo puoi tentare se hai in mano l'hash e la potenza di calcolo per
poter fare miliardi di tentativi al secondo, e anche lì ti fermi a
password molto facili; ma fosse anche solo per la latenza di rete questa
cosa non è fattibile online proprio per limiti fisici.
sarebbe ipotizzabile se tu avessi usato la stessa password di un altro
sito o una sua variante, perché in questo caso i tentativi da fare
sarebbero pochi e non si parlerebbe comunque di brute force attack.
> Quando li ho chiamati mi hanno risposto che la mail va in blocco se
> "l'ip da cui arrivano i tentativi è sospetto". Ma che risposta è? Come
> fanno a distinguere gli ip sospetti da quelli non sospetti?
rootkit
May 7, 2023, 6:30:23 AM5/7/23
to
Il Sun, 7 May 2023 01:13:16 -0700 (PDT), Luigi Derossi ha scritto:
> E' mai possibile che Tiscali, che non è neppure l'ultimo arrivato,
piccola postilla su questo: a prescindere da tutto io ne approfitterei per
> E' mai possibile che Tiscali, che non è neppure l'ultimo arrivato,
mandare la mail tiscali a quel paese.
Luigi Derossi
May 7, 2023, 7:05:30 AM5/7/23
to
Luigi Derossi
May 7, 2023, 7:11:28 AM5/7/23
to
Il giorno domenica 7 maggio 2023 alle 12:13:03 UTC+2 rootkit ha scritto:
> no questo è da escludere. un brute force online non è materialmente
> fattibile, non basterebbe la vita dell'universo altro che giorni. un brute
> force lo puoi tentare se hai in mano l'hash e la potenza di calcolo per
> poter fare miliardi di tentativi al secondo, e anche lì ti fermi a
> password molto facili; ma fosse anche solo per la latenza di rete questa
> cosa non è fattibile online proprio per limiti fisici.
Allora come si fa il bruteforce?
> no questo è da escludere. un brute force online non è materialmente
> fattibile, non basterebbe la vita dell'universo altro che giorni. un brute
> force lo puoi tentare se hai in mano l'hash e la potenza di calcolo per
> poter fare miliardi di tentativi al secondo, e anche lì ti fermi a
> password molto facili; ma fosse anche solo per la latenza di rete questa
> cosa non è fattibile online proprio per limiti fisici.
rootkit
May 7, 2023, 9:53:04 AM5/7/23
to
comprese le password queste ultime sono solitamente hashed, e sono gli
hash che potenzialmente possono essere attaccati in questo modo.
dico potenzialmente, perché una password robusta allo stato attuale non ha
chance di essere scovata in tempi umani.
considera una password di 10 caratteri alfanumerici, case sensitive e con
almeno un simbolo, quindi moderatamente strong; questa password ha 64 bit
di entropia, ovvero servono 2^64 tentativi per esplorare tutto lo spazio;
supponendo ogni tentativo di login impieghi 1 millisecondo vuol dire che
ti servono 1,8 * 10^16 secondi, che corrispondono a circa 5,8 miliardi di
anni, millennio più millennio meno. e ho detto 1 millisecondo che non è
neanche il tempo che impiega la richiesta per andare e tornare. metti che
poi il server ci metta, che so, un ritardo artificioso a risponderti in
caso di "login failed" (cosa che solitamente fanno) ed ecco che i tempi
salgono di qualche altro ordine di grandezza.
rootkit
May 7, 2023, 12:47:45 PM5/7/23
to
Il Sun, 7 May 2023 04:05:29 -0700 (PDT), Luigi Derossi ha scritto:
>> > E' mai possibile che Tiscali, che non è neppure l'ultimo arrivato,
>> piccola postilla su questo: a prescindere da tutto io ne approfitterei
>> per mandare la mail tiscali a quel paese.
>
> La mail Tiscali ha un pregio unico (ma veramente unico ho cercato in
> lungo e in largo e non ne ho trovata un'altra con lo stesso pregio; anzi
> se conosci un provider che lo fa e me lo segnali te ne sarò grato a
> vita): Puoi disattivare il filtro antispam e vedere tutto ciò che ti
> arriva e cancellare lo spam a mano. Perdi 3 secondi ma sai di non
> esserti perso niente.
sinceramente più che un pregio ci vedo il difetto che il filtro antispam
>> > E' mai possibile che Tiscali, che non è neppure l'ultimo arrivato,
>> piccola postilla su questo: a prescindere da tutto io ne approfitterei
>> per mandare la mail tiscali a quel paese.
>
> La mail Tiscali ha un pregio unico (ma veramente unico ho cercato in
> lungo e in largo e non ne ho trovata un'altra con lo stesso pregio; anzi
> se conosci un provider che lo fa e me lo segnali te ne sarò grato a
> vita): Puoi disattivare il filtro antispam e vedere tutto ciò che ti
> arriva e cancellare lo spam a mano. Perdi 3 secondi ma sai di non
> esserti perso niente.
non funziona, se intercetta anche mail che non sono spam.
io come mail personale uso gmail (non è un endorsement, lo dico a titolo
di cronaca) e non succede di sicuro. inoltre dovessi despammare a mano
altro che tre secondi... con tutto il rischio poi di non avere uno
strumento che riconosce i mittenti spoofati.
Luigi Derossi
May 7, 2023, 5:47:35 PM5/7/23
to
Poi questo dramma dello spam non lo capisco. Per me è un attimo riconoscere le mail di spam e cancellarle. Forse sono fortunato e a me ne arrivano poche?
Invece mi ha creato un sacco di problemi quando con altri provider mail importanti sono finite nello spam e sono dovuto andare a recuperarle giorni dopo.
Gmail, come molti altri, non ha l'opzione "chiedi ricevuta di ritorno" neppure sulla singola mail, mentre Tiscali la ha, sempre a scelta, tra le impostazioni generali.
N.B. neanche io sono aziosita Tiscali, che oggi appartiene all'80% a Fondi americani, sono solo constatazioni.
rootkit
May 8, 2023, 2:42:02 AM5/8/23
to
Il Sun, 7 May 2023 14:47:34 -0700 (PDT), Luigi Derossi ha scritto:
> Ho detto una cosa diversa. Se lo fai funzionare funziona normalmente, ma
> decidi tu se farlo funzionare o meno, gli altri provider te lo
> impongono, te lo devi tenere per forza. Anzi precisamente Tiscali ha
> l'opzione che ti manda tutto in posta in arrivo e quello che lui ritiene
> spam lo contrassegna con apposito simbolo. Poi decidi tu cosa fare e
> chiaramente al 98% ci prende.
non mi pare francamente una killer feature, questione di gusti, per me è
> Ho detto una cosa diversa. Se lo fai funzionare funziona normalmente, ma
> decidi tu se farlo funzionare o meno, gli altri provider te lo
> impongono, te lo devi tenere per forza. Anzi precisamente Tiscali ha
> l'opzione che ti manda tutto in posta in arrivo e quello che lui ritiene
> spam lo contrassegna con apposito simbolo. Poi decidi tu cosa fare e
> chiaramente al 98% ci prende.
preferibile una inbox pulita. io non ci faccio passare nemmeno le mailing
list proprio per non affogare le mail importanti.
> Poi questo dramma dello spam non lo capisco. Per me è un attimo
> riconoscere le mail di spam e cancellarle. Forse sono fortunato e a me
> ne arrivano poche?
personale sono pur sempre molte più delle mail importanti.
> Invece mi ha creato un sacco di problemi quando con altri provider mail
> importanti sono finite nello spam e sono dovuto andare a recuperarle
> giorni dopo.
intende per "mail importanti". i mittenti che usano correttamente dei
server smtp idonei non finiscono mai nello spam di gmail.
> Gmail, come molti altri, non ha l'opzione "chiedi ricevuta di ritorno"
> neppure sulla singola mail, mentre Tiscali la ha, sempre a scelta, tra
> le impostazioni generali.
fastidiosa per il destinatario.
ObiWan
May 8, 2023, 5:05:02 AM5/8/23
to
:: On Sat, 6 May 2023 21:36:00 -0000 (UTC)
:: (it.comp.sicurezza.varie)
:: <u36h80$30ijm$1...@dont-email.me>
solo il "salted hash" della stessa
:: (it.comp.sicurezza.varie)
:: <u36h80$30ijm$1...@dont-email.me>
:: rootkit <roo...@email.it> wrote:
> se è vero che l'account di posta è stato violato le credenziali le
> hanno ottenute sottraendole a te, non al server.
esatto, anche perchè i server di norma non memorizzano la password ma
> se è vero che l'account di posta è stato violato le credenziali le
> hanno ottenute sottraendole a te, non al server.
solo il "salted hash" della stessa
ObiWan
May 8, 2023, 5:07:03 AM5/8/23
to
:: On Sun, 7 May 2023 13:53:02 -0000 (UTC)
:: (it.comp.sicurezza.varie)
:: <u38afu$39g8b$4...@dont-email.me>
qui https://www.grc.com/haystack.htm
:: (it.comp.sicurezza.varie)
:: <u38afu$39g8b$4...@dont-email.me>
:: rootkit <roo...@email.it> wrote:
> dico potenzialmente, perché una password robusta allo stato attuale
> non ha chance di essere scovata in tempi umani.
e, se uno volesse una dimostrazione pratica, basta inserire la password
> dico potenzialmente, perché una password robusta allo stato attuale
> non ha chance di essere scovata in tempi umani.
qui https://www.grc.com/haystack.htm
P/ero
May 8, 2023, 12:08:38 PM5/8/23
to
--
* b *
* y *
* Pierо *
#v+
-ad maiora-
#v-
P/ero
May 8, 2023, 12:08:38 PM5/8/23
to
(cento trilioni di tentativi al secondo)
servono 1.74 secoli per trovare questa pass -> Xc.Nn47#L!Af
:-D
--
* b *
* y *
* Pierо *
#v+
#v-
ObiWan
May 9, 2023, 2:39:52 AM5/9/23
to
:: On Mon, 08 May 2023 17:53:07 +0200 (Italian-Time)
:: (it.comp.sicurezza.varie)
:: <O-658079-08.05.23$33ddHfe...@wooow.it>
solo due "banali" punti (facili da ricordare) e vedi cosa viene fuori
:)
:: (it.comp.sicurezza.varie)
:: <O-658079-08.05.23$33ddHfe...@wooow.it>
:: "P/ero" <ppi...@woow.it.INVALID> wrote:
> Anche con ripetuti tentativi di Cracking
> (cento trilioni di tentativi al secondo)
> servono 1.74 secoli per trovare questa pass -> Xc.Nn47#L!Af
> :-D
>
prova a cambiare "Xc.Nn47#L!Af" in "Xc...Nn47#L!Af" ossia aggiungendo
> Anche con ripetuti tentativi di Cracking
> (cento trilioni di tentativi al secondo)
> servono 1.74 secoli per trovare questa pass -> Xc.Nn47#L!Af
> :-D
>
solo due "banali" punti (facili da ricordare) e vedi cosa viene fuori
:)
rootkit
May 9, 2023, 3:03:27 AM5/9/23
to
tentativi. in quel caso la tabella va dal carattere ! al carattere z,
quindi a cazzotto sono 6 bit utili, aggiungendo due caratteri raddoppi 12
volte.
TJL73
May 9, 2023, 4:00:28 AM5/9/23
to
Quando chiesi chi disturbava il mio riposo, "Luigi Derossi" rispose:
> > > La mail Tiscali ha un pregio unico (ma veramente unico ho cercato in
> > > lungo e in largo e non ne ho trovata un'altra con lo stesso pregio;
> > > anzi se conosci un provider che lo fa e me lo segnali te ne sarò grato
> > > a vita): Puoi disattivare il filtro antispam e vedere tutto ciò che
> > > ti arriva e cancellare lo spam a mano. Perdi 3 secondi ma sai di non
> > > esserti perso niente.
A parte il fatto che i filtri antispam automatici di GMail sono quasi
impeccabili (e ribadisco il *quasi*), basta sapere come utilizzare
correttamente i filtri "a impostazione manuale".
Basta crearne semplicemente uno con la regola universale:
| Corrispondenze: from:(@)
| Azione da eseguire: Non inviare mai a Spam
e *tutto* ciò che ti arriva non verrà *mai* inviato nella cartella Spam.
> Tiscali ha l'opzione che ti manda tutto in posta in arrivo e quello
> che lui ritiene spam lo contrassegna con apposito simbolo. Poi decidi
> tu cosa fare e chiaramente al 98% ci prende.
Mi sembra che anche con GMail, nel caso suggerito, le mail ritenute
pericolose o fastidiose vengano comunque marcate da un banner, quando
vengono visualizzate tramite webmail.
> Poi questo dramma dello spam non lo capisco. Per me è un attimo
> riconoscere le mail di spam e cancellarle. Forse sono fortunato e a
> me ne arrivano poche?
Preferisco impegnare il mio tempo a fare altro, sinceramente.
> Invece mi ha creato un sacco di problemi quando con altri provider
> mail importanti sono finite nello spam e sono dovuto andare a
> recuperarle giorni dopo.
Sempre in GMail, quando una mail viene contrassegnata come Spam e viene
posizionata nella relativa cartella (o, meglio, viene applicata la
relativa etichetta) viene mostrato un contatore che segnala la presenza
di mail da verificare tra lo Spam. Certo, se poi uno la ignora... ¬_¬
> Gmail, come molti altri, non ha l'opzione "chiedi ricevuta di
> ritorno" neppure sulla singola mail, mentre Tiscali la ha, sempre a
> scelta, tra le impostazioni generali.
Confermo. Però, solo se invii tramite webmail; utilizzando un client
SMTPs, è possibile aggiungere gli header "Disposition-Notification-To",
"Return-Receipt-To" e "X-Confirm-Reading-To" per abbracciare quasi tutte
le casistiche (ad esempio, le mail inviate a destinatari GMail, ma non
solo questi, non invieranno mai alcuna conferma di lettura, a meno che
non lo faccia il client POP3s/IMAP4s).
Ciao,
un TJL73 e la sua honeypot di Libero...
--
"Quando tutto il resto fa fiasco, leggi le istruzioni."
-- Assioma di Cahn - da "La legge di Murphy"
> > > La mail Tiscali ha un pregio unico (ma veramente unico ho cercato in
> > > lungo e in largo e non ne ho trovata un'altra con lo stesso pregio;
> > > anzi se conosci un provider che lo fa e me lo segnali te ne sarò grato
> > > a vita): Puoi disattivare il filtro antispam e vedere tutto ciò che
> > > ti arriva e cancellare lo spam a mano. Perdi 3 secondi ma sai di non
> > > esserti perso niente.
impeccabili (e ribadisco il *quasi*), basta sapere come utilizzare
correttamente i filtri "a impostazione manuale".
Basta crearne semplicemente uno con la regola universale:
| Corrispondenze: from:(@)
| Azione da eseguire: Non inviare mai a Spam
e *tutto* ciò che ti arriva non verrà *mai* inviato nella cartella Spam.
> Tiscali ha l'opzione che ti manda tutto in posta in arrivo e quello
> che lui ritiene spam lo contrassegna con apposito simbolo. Poi decidi
> tu cosa fare e chiaramente al 98% ci prende.
pericolose o fastidiose vengano comunque marcate da un banner, quando
vengono visualizzate tramite webmail.
> Poi questo dramma dello spam non lo capisco. Per me è un attimo
> riconoscere le mail di spam e cancellarle. Forse sono fortunato e a
> me ne arrivano poche?
> Invece mi ha creato un sacco di problemi quando con altri provider
> mail importanti sono finite nello spam e sono dovuto andare a
> recuperarle giorni dopo.
posizionata nella relativa cartella (o, meglio, viene applicata la
relativa etichetta) viene mostrato un contatore che segnala la presenza
di mail da verificare tra lo Spam. Certo, se poi uno la ignora... ¬_¬
> Gmail, come molti altri, non ha l'opzione "chiedi ricevuta di
> ritorno" neppure sulla singola mail, mentre Tiscali la ha, sempre a
> scelta, tra le impostazioni generali.
SMTPs, è possibile aggiungere gli header "Disposition-Notification-To",
"Return-Receipt-To" e "X-Confirm-Reading-To" per abbracciare quasi tutte
le casistiche (ad esempio, le mail inviate a destinatari GMail, ma non
solo questi, non invieranno mai alcuna conferma di lettura, a meno che
non lo faccia il client POP3s/IMAP4s).
Ciao,
un TJL73 e la sua honeypot di Libero...
--
"Quando tutto il resto fa fiasco, leggi le istruzioni."
-- Assioma di Cahn - da "La legge di Murphy"
ObiWan
May 9, 2023, 5:47:25 AM5/9/23
to
:: On Tue, 9 May 2023 07:02:11 -0000 (UTC)
:: (it.comp.sicurezza.varie)
:: <u3cr5j$67rf$2...@dont-email.me>
è che, aggiungendo due "." si aumenta di molto la complessità, anche se
all'apparenza non sembra ed i "." sono facili da ricordare :) per
ulterire chiarezza se come password usiamo "password" la craccano in un
lampo (anche considerando i "dictionary attack"), ma se, semplicemente
cambiamo in "p.a.s.s.w.o.r.d" per craccarla ci vorranno dei secoli e la
password sarà comunque facile da ricordare :)
:: (it.comp.sicurezza.varie)
:: <u3cr5j$67rf$2...@dont-email.me>
:: rootkit <roo...@email.it> wrote:
> > prova a cambiare "Xc.Nn47#L!Af" in "Xc...Nn47#L!Af" ossia
> > aggiungendo solo due "banali" punti (facili da ricordare) e vedi
> > cosa viene fuori
> > prova a cambiare "Xc.Nn47#L!Af" in "Xc...Nn47#L!Af" ossia
> > aggiungendo solo due "banali" punti (facili da ricordare) e vedi
> > cosa viene fuori
> beh è ovvio, ogni bit "utile" che aggiungi raddoppi il numero di
> tentativi. in quel caso la tabella va dal carattere ! al carattere z,
> quindi a cazzotto sono 6 bit utili, aggiungendo due caratteri
> raddoppi 12 volte.
Si ok, sono stato poco chiaro, probabilmente; quello che intendevo dire
> tentativi. in quel caso la tabella va dal carattere ! al carattere z,
> quindi a cazzotto sono 6 bit utili, aggiungendo due caratteri
> raddoppi 12 volte.
è che, aggiungendo due "." si aumenta di molto la complessità, anche se
all'apparenza non sembra ed i "." sono facili da ricordare :) per
ulterire chiarezza se come password usiamo "password" la craccano in un
lampo (anche considerando i "dictionary attack"), ma se, semplicemente
cambiamo in "p.a.s.s.w.o.r.d" per craccarla ci vorranno dei secoli e la
password sarà comunque facile da ricordare :)
Luigi Derossi
May 9, 2023, 6:59:56 AM5/9/23
to
Il giorno martedì 9 maggio 2023 alle 10:00:28 UTC+2 TJL73 ha scritto:
> A parte il fatto che i filtri antispam automatici di GMail sono quasi
> impeccabili (e ribadisco il *quasi*), basta sapere come utilizzare
> correttamente i filtri "a impostazione manuale".
>
> Basta crearne semplicemente uno con la regola universale:
>
> | Corrispondenze: from:(@)
> | Azione da eseguire: Non inviare mai a Spam
1. Nel fantastico filtro antispam ho trovato le notifiche relative a questa discussione. Si autocastra praticamente.
> A parte il fatto che i filtri antispam automatici di GMail sono quasi
> impeccabili (e ribadisco il *quasi*), basta sapere come utilizzare
> correttamente i filtri "a impostazione manuale".
>
> Basta crearne semplicemente uno con la regola universale:
>
> | Corrispondenze: from:(@)
> | Azione da eseguire: Non inviare mai a Spam
2. Ho impostato il filtro come dici tu poi ho inoltrato una mail di spam da Tiscali a Gmail. Su Gmail non è visibile da nessuna parte neppure nella carte lla spam, mentre è tornata indietro su Tiscali con la dicitura "mail delivery failed". Ed era uno spam innocuo senza immagini, una specie di pubblicità a cui magari potevo essere interessato.
Cioè decidono loro per te.
Luigi Derossi
May 9, 2023, 8:12:08 AM5/9/23
to
Il giorno lunedì 8 maggio 2023 alle 08:42:02 UTC+2 rootkit ha scritto:
> server smtp idonei non finiscono mai nello spam di gmail.
> > Gmail, come molti altri, non ha l'opzione "chiedi ricevuta di ritorno"
> > neppure sulla singola mail, mentre Tiscali la ha, sempre a scelta, tra
> > le impostazioni generali.
> una feature che ho sempre considerato sostanzialmente inutile anzi
> fastidiosa per il destinatario.
Io la metto di default e considero un maleducato chi non fa quel semplice clic, perchè se non mi dà conferma come faccio a sapere che l'ha letta o magari devo rimandargliela?
> server smtp idonei non finiscono mai nello spam di gmail.
> > Gmail, come molti altri, non ha l'opzione "chiedi ricevuta di ritorno"
> > neppure sulla singola mail, mentre Tiscali la ha, sempre a scelta, tra
> > le impostazioni generali.
> una feature che ho sempre considerato sostanzialmente inutile anzi
> fastidiosa per il destinatario.
Pensa quanta diversità c'è nel mondo....
rootkit
May 9, 2023, 8:39:02 AM5/9/23
to
Il Tue, 9 May 2023 03:59:54 -0700 (PDT), Luigi Derossi ha scritto:
> 2. Ho impostato il filtro come dici tu poi ho inoltrato una mail di spam
> da Tiscali a Gmail. Su Gmail non è visibile da nessuna parte neppure
> nella carte lla spam, mentre è tornata indietro su Tiscali con la
> dicitura "mail delivery failed". Ed era uno spam innocuo senza immagini,
> una specie di pubblicità a cui magari potevo essere interessato.
> Cioè decidono loro per te.
uhm.
> 2. Ho impostato il filtro come dici tu poi ho inoltrato una mail di spam
> da Tiscali a Gmail. Su Gmail non è visibile da nessuna parte neppure
> nella carte lla spam, mentre è tornata indietro su Tiscali con la
> dicitura "mail delivery failed". Ed era uno spam innocuo senza immagini,
> una specie di pubblicità a cui magari potevo essere interessato.
> Cioè decidono loro per te.
se la mail l'hai inoltrata tu il filtro non ha elementi per capire che in
origine era spam, perché l'inoltro sostituisce tutti gli header e il
filtro non va a sindacare sul testo contenuto. quindi il test era del
tutto privo di fondamento.
inoltre la risposta "mail delivery failed" non viene dal filtro spam il
quale non risponde (ovviamente) allo spam. lì è uno dei server, il tuo o
quello di google, che ti avverte di non essere riuscito a consegnare il
messaggio. il motivo da qui non si può sapere ma di certo il filtro spam
non c'entra nulla.
Luigi Derossi
May 9, 2023, 8:52:45 AM5/9/23
to
Questa è stata la risposta:
This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:
xx...@gmail.com
host 10.39.80.111 [10.39.80.111]
SMTP error from remote mail server after end of data:
550 Mail blocked by spam filter
A me sembra che l'antispam Gmail l'ha mandata indietro senza neppure metterla nella cartella spam.
Per completezza me la sono autoinoltrata sulla casella Tiscali (col filtro disattivato) e arriva regolarmente
ObiWan
May 9, 2023, 9:15:47 AM5/9/23
to
:: On Tue, 9 May 2023 05:52:44 -0700 (PDT)
:: (it.comp.sicurezza.varie)
:: <4a5aa6c4-428b-46d6...@googlegroups.com>
spam e l'ha rigettata senza tanti complimenti, non vedo dove sia il
"mistero", anche se a questo punto mi sorge il dubbio che tu non abbia
le idee chiare sul come funzioni il traffico email
:: (it.comp.sicurezza.varie)
:: <4a5aa6c4-428b-46d6...@googlegroups.com>
:: Luigi Derossi <saba...@gmail.com> wrote:
> This message was created automatically by mail delivery software.
> A message that you sent could not be delivered to one or more of its
> recipients. This is a permanent error. The following address(es)
> failed:
>
> xx...@gmail.com
> host 10.39.80.111 [10.39.80.111]
> SMTP error from remote mail server after end of data:
> 550 Mail blocked by spam filter
>
> A me sembra che l'antispam Gmail l'ha mandata indietro senza neppure
> metterla nella cartella spam. Per completezza me la sono
> autoinoltrata sulla casella Tiscali (col filtro disattivato) e arriva
> regolarmente
Il che significa che gmail ha riconosciuto quella email come PALESE
> This message was created automatically by mail delivery software.
> A message that you sent could not be delivered to one or more of its
> recipients. This is a permanent error. The following address(es)
> failed:
>
> xx...@gmail.com
> host 10.39.80.111 [10.39.80.111]
> SMTP error from remote mail server after end of data:
> 550 Mail blocked by spam filter
>
> A me sembra che l'antispam Gmail l'ha mandata indietro senza neppure
> metterla nella cartella spam. Per completezza me la sono
> autoinoltrata sulla casella Tiscali (col filtro disattivato) e arriva
> regolarmente
spam e l'ha rigettata senza tanti complimenti, non vedo dove sia il
"mistero", anche se a questo punto mi sorge il dubbio che tu non abbia
le idee chiare sul come funzioni il traffico email
Luigi Derossi
May 9, 2023, 9:35:08 AM5/9/23
to
Il giorno martedì 9 maggio 2023 alle 15:15:47 UTC+2 ObiWan ha scritto:
> > A me sembra che l'antispam Gmail l'ha mandata indietro senza neppure
> > metterla nella cartella spam. Per completezza me la sono
> > autoinoltrata sulla casella Tiscali (col filtro disattivato) e arriva
> > regolarmente
> Il che significa che gmail ha riconosciuto quella email come PALESE
> spam e l'ha rigettata senza tanti complimenti, non vedo dove sia il
> "mistero", anche se a questo punto mi sorge il dubbio che tu non abbia
> le idee chiare sul come funzioni il traffico email
A me sembra evidente che Gmail, (e non solo) se ne frega delle regole che imposta l'utente e fa come dice lui, che poi non sarebbe l'unico caso. Non c'è nessun mistero infatti, c'è che Google pretende di comandare lui. Se la regola è "non filtrare" lui non deve decidere se è palese o meno, la deve mandare avanti e basta, poi deciderò io. Era una mail di solo testo + link di una società americana che proponeva di fare soldi investendo nel prodotto X e Y. E se io volevo investire proprio lì? E se Google ha qualcosa contro questa società e per questo la blocca? Come fa, non solo a qualificarla spam, ma addirittura a decidere che io non possa neppure leggerla recuperandola dallo spam? Fa il tutore o il provider di posta?
> > A me sembra che l'antispam Gmail l'ha mandata indietro senza neppure
> > metterla nella cartella spam. Per completezza me la sono
> > autoinoltrata sulla casella Tiscali (col filtro disattivato) e arriva
> > regolarmente
> Il che significa che gmail ha riconosciuto quella email come PALESE
> spam e l'ha rigettata senza tanti complimenti, non vedo dove sia il
> "mistero", anche se a questo punto mi sorge il dubbio che tu non abbia
> le idee chiare sul come funzioni il traffico email
ObiWan
May 9, 2023, 9:48:22 AM5/9/23
to
:: On Tue, 9 May 2023 06:35:07 -0700 (PDT)
:: (it.comp.sicurezza.varie)
:: <fc7841f0-2de1-41da...@googlegroups.com>
della "mail di testo, contenente solo un link" ha controllato il link e
rigettato la mail come spam PALESE, i "filtri utente" invece lavorano
SOLO sulle email "sospette", ossia ad uno stadio successivo, se poi dal
parlare di mail, vuoi passare a parlare di "mysteriosy gombloddi" allora
ti saluto e ti auguro buon pomeriggio
:: (it.comp.sicurezza.varie)
:: <fc7841f0-2de1-41da...@googlegroups.com>
:: Luigi Derossi <saba...@gmail.com> wrote:
> A me sembra evidente che Gmail, (e non solo) se ne frega delle regole
> che imposta l'utente e fa come dice lui, che poi non sarebbe l'unico
> caso. Non c'è nessun mistero infatti, c'è che Google pretende di
> comandare lui. Se la regola è "non filtrare" lui non deve decidere se
> è palese o meno, la deve mandare avanti e basta, poi deciderò io. Era
> una mail di solo testo + link di una società americana che proponeva
> di fare soldi investendo nel prodotto X e Y. E se io volevo
> investire proprio lì? E se Google ha qualcosa contro questa società e
> per questo la blocca? Come fa, non solo a qualificarla spam, ma
> addirittura a decidere che io non possa neppure leggerla
> recuperandola dallo spam? Fa il tutore o il provider di posta?
Gmail probabilmente usa (tra l'altro) delle URIBL ed alla ricezione
> A me sembra evidente che Gmail, (e non solo) se ne frega delle regole
> che imposta l'utente e fa come dice lui, che poi non sarebbe l'unico
> caso. Non c'è nessun mistero infatti, c'è che Google pretende di
> comandare lui. Se la regola è "non filtrare" lui non deve decidere se
> è palese o meno, la deve mandare avanti e basta, poi deciderò io. Era
> una mail di solo testo + link di una società americana che proponeva
> di fare soldi investendo nel prodotto X e Y. E se io volevo
> investire proprio lì? E se Google ha qualcosa contro questa società e
> per questo la blocca? Come fa, non solo a qualificarla spam, ma
> addirittura a decidere che io non possa neppure leggerla
> recuperandola dallo spam? Fa il tutore o il provider di posta?
della "mail di testo, contenente solo un link" ha controllato il link e
rigettato la mail come spam PALESE, i "filtri utente" invece lavorano
SOLO sulle email "sospette", ossia ad uno stadio successivo, se poi dal
parlare di mail, vuoi passare a parlare di "mysteriosy gombloddi" allora
ti saluto e ti auguro buon pomeriggio
Luigi Derossi
May 9, 2023, 9:59:08 AM5/9/23
to
Il giorno martedì 9 maggio 2023 alle 15:48:22 UTC+2 ObiWan ha scritto:
> Gmail probabilmente usa (tra l'altro) delle URIBL ed alla ricezione
> della "mail di testo, contenente solo un link" ha controllato il link e
> rigettato la mail come spam PALESE, i "filtri utente" invece lavorano
> SOLO sulle email "sospette", ossia ad uno stadio successivo, se poi dal
> parlare di mail, vuoi passare a parlare di "mysteriosy gombloddi" allora
> ti saluto e ti auguro buon pomeriggio
Il complotto era solo per dire. Il fatto è che se tu stai in macchina e premi l'accelleratore la macchina accellera e basta, non sa e non deve sapere se tu stai semplicmente partendo da casa, o accellerando vuoi fare una strage di gente che aspetta l'autobus. Lei deve solo eseguire l'ordine di accellerare.
> Gmail probabilmente usa (tra l'altro) delle URIBL ed alla ricezione
> della "mail di testo, contenente solo un link" ha controllato il link e
> rigettato la mail come spam PALESE, i "filtri utente" invece lavorano
> SOLO sulle email "sospette", ossia ad uno stadio successivo, se poi dal
> parlare di mail, vuoi passare a parlare di "mysteriosy gombloddi" allora
> ti saluto e ti auguro buon pomeriggio
E così deve fare il provider. Se io dico "lascia passare" deve lasciare passare tutto. La distinzione tra mail palesi e sospette se la tiene a casa sua. Se un altro utente gli dice "filtra tu perchè io mi stanco a vedere 4 mail di pubblicità" allora filtrerà. Ma lo devo decidere l'utente non il provider.
ObiWan
May 9, 2023, 11:42:17 AM5/9/23
to
:: On Tue, 9 May 2023 06:59:07 -0700 (PDT)
:: (it.comp.sicurezza.varie)
:: <479683e8-84b8-4708...@googlegroups.com>
semmai il provider si preoccupa di mantenere l'efficienza ed integrità
dei propri server evitando che questi ricevano ed elaborino del tutto
inutilmente dei messaggi palesemente SPAM, questo è quello che fanno i
provider di email seri, poi ci sono i "cantinari" che hanno filtri che
fanno ridere ... e conseguenti problemi, le cose stanno così, se ti sta
bene ok, altrimenti cambia provider o installa un tuo server di posta.
:: (it.comp.sicurezza.varie)
:: <479683e8-84b8-4708...@googlegroups.com>
:: Luigi Derossi <saba...@gmail.com> wrote:
> eseguire l'ordine di accellerare. E così deve fare il provider.
No, il provider, specie se offre un servizio gratuito non DEVE nulla,
> eseguire l'ordine di accellerare. E così deve fare il provider.
semmai il provider si preoccupa di mantenere l'efficienza ed integrità
dei propri server evitando che questi ricevano ed elaborino del tutto
inutilmente dei messaggi palesemente SPAM, questo è quello che fanno i
provider di email seri, poi ci sono i "cantinari" che hanno filtri che
fanno ridere ... e conseguenti problemi, le cose stanno così, se ti sta
bene ok, altrimenti cambia provider o installa un tuo server di posta.
P/ero
May 9, 2023, 12:02:55 PM5/9/23
to
> :)
--
* b *
* y *
* Pierо *
#v+
#v-
Gabriele - onenet
May 12, 2023, 2:19:27 PM5/12/23
to
On 6 May 2023 at 22:06:04 CEST, "Luigi Derossi" <saba...@gmail.com> wrote:
> Il giorno venerdì 5 maggio 2023 alle 22:33:20 UTC+2 rootkit ha scritto:
>>> allora non capisco: se ha capito che la password è stata scoperta perchè
>>> poi aggiunge "no pawngage found" (che poi che vuol dire pwnage?)
>
>> no, appunto stai facendo confusione.
>>
>> nel secondo motore di ricerca dovresti aver messo la password che sospetti
>> possa essere compromessa. avesse risposto in modo positivo avresti avuto
>> la certezza che la password è fra quelle conosciute, quindi da non usare e
>> se la stai usando da cambiare quanto prima (ovviamente). però anche qui
>> non risponde alla tua domanda.
>
> Beh… no. Supponendo che il motore di ricerca sia preciso, se metto la password
> della mail che ritengo trafugata e lui mi dice di no, allora risponde alla mia
> domanda (qualcuno conosce la passord della mia mail?).
> Ma sulla mia domanda mi pare ci sia poco da discutere. Se qualcuno si è
> loggato sul mio account twitter inserendo un codice che è arrivato sulla mia
> mail, mi sembra logico che abbia accesso alla mia mail.
Ma sei proprio proprio sicuro che gli avvisi che hai ricevuti fossero di
Twitter? Posta gli header completi.
> Il giorno venerdì 5 maggio 2023 alle 22:33:20 UTC+2 rootkit ha scritto:
>>> allora non capisco: se ha capito che la password è stata scoperta perchè
>>> poi aggiunge "no pawngage found" (che poi che vuol dire pwnage?)
>
>> no, appunto stai facendo confusione.
>>
>> nel secondo motore di ricerca dovresti aver messo la password che sospetti
>> possa essere compromessa. avesse risposto in modo positivo avresti avuto
>> la certezza che la password è fra quelle conosciute, quindi da non usare e
>> se la stai usando da cambiare quanto prima (ovviamente). però anche qui
>> non risponde alla tua domanda.
>
> Beh… no. Supponendo che il motore di ricerca sia preciso, se metto la password
> della mail che ritengo trafugata e lui mi dice di no, allora risponde alla mia
> domanda (qualcuno conosce la passord della mia mail?).
> Ma sulla mia domanda mi pare ci sia poco da discutere. Se qualcuno si è
> loggato sul mio account twitter inserendo un codice che è arrivato sulla mia
> mail, mi sembra logico che abbia accesso alla mia mail.
Ma sei proprio proprio sicuro che gli avvisi che hai ricevuti fossero di
Twitter? Posta gli header completi.
Gabriele - onenet
May 12, 2023, 2:35:00 PM5/12/23
to
On 6 May 2023 at 23:36:00 CEST, "rootkit" <roo...@email.it> wrote:
>
>
> non proprio. se non la trova è una non-risposta, vuol dire che non è
> presente negli archivi resi pubblici e niente più. una password che è
> stata sottratta tramite phishing o un qualsiasi altro attacco mirato
> all'utente non la trovi lì. e credimi, se è vero che l'account di posta è
avevano fregato tutte le rubriche... giusto per fare nomi
>
>
> non proprio. se non la trova è una non-risposta, vuol dire che non è
> presente negli archivi resi pubblici e niente più. una password che è
> stata sottratta tramite phishing o un qualsiasi altro attacco mirato
> all'utente non la trovi lì. e credimi, se è vero che l'account di posta è
> stato violato le credenziali le hanno ottenute sottraendole a te, non al
> server.
>
Rootkit, se la email è su Libero non farei tanto affidamento, così come gli
> server.
>
avevano fregato tutte le rubriche... giusto per fare nomi
rootkit
May 12, 2023, 2:44:35 PM5/12/23
to
messaggio. anche tiscali non è certo da farci affidamento, fino a poco
tempo fa utenti segnalavano chiari indizi che si salvavano le password in
chiaro (banalmente consentiva agli utenti di recuperarla).
Gabriele - onenet
May 12, 2023, 2:50:08 PM5/12/23
to
On 9 May 2023 at 15:59:07 CEST, "Luigi Derossi" <saba...@gmail.com> wrote:
> Il giorno martedì 9 maggio 2023 alle 15:48:22 UTC+2 ObiWan ha scritto:
>> Gmail probabilmente usa (tra l'altro) delle URIBL ed alla ricezione
>> della "mail di testo, contenente solo un link" ha controllato il link e
>> rigettato la mail come spam PALESE, i "filtri utente" invece lavorano
>> SOLO sulle email "sospette", ossia ad uno stadio successivo, se poi dal
>> parlare di mail, vuoi passare a parlare di "mysteriosy gombloddi" allora
>> ti saluto e ti auguro buon pomeriggio
>
> Il complotto era solo per dire. Il fatto è che se tu stai in macchina e premi
> l'accelleratore la macchina accellera e basta, non sa e non deve sapere se tu
> stai semplicmente partendo da casa, o accellerando vuoi fare una strage di
> gente che aspetta l'autobus. Lei deve solo eseguire l'ordine di accellerare.
Allora ti devi comprare una macchina tua ;-) e poi buona fortuna a
> Il giorno martedì 9 maggio 2023 alle 15:48:22 UTC+2 ObiWan ha scritto:
>> Gmail probabilmente usa (tra l'altro) delle URIBL ed alla ricezione
>> della "mail di testo, contenente solo un link" ha controllato il link e
>> rigettato la mail come spam PALESE, i "filtri utente" invece lavorano
>> SOLO sulle email "sospette", ossia ad uno stadio successivo, se poi dal
>> parlare di mail, vuoi passare a parlare di "mysteriosy gombloddi" allora
>> ti saluto e ti auguro buon pomeriggio
>
> Il complotto era solo per dire. Il fatto è che se tu stai in macchina e premi
> l'accelleratore la macchina accellera e basta, non sa e non deve sapere se tu
> stai semplicmente partendo da casa, o accellerando vuoi fare una strage di
> gente che aspetta l'autobus. Lei deve solo eseguire l'ordine di accellerare.
configurarla.
> E così deve fare il provider. Se io dico "lascia passare" deve lasciare
> passare tutto. La distinzione tra mail palesi e sospette se la tiene a casa
> sua. Se un altro utente gli dice "filtra tu perchè io mi stanco a vedere 4
> mail di pubblicità" allora filtrerà. Ma lo devo decidere l'utente non il
> provider.
gmail non vuole sapere come funziona; inoltre il gestore di posta deve
tutelarsi dal traffico anomalo.
NB. a me non piace affatto Gmail in generale, anche perché quando segnali lo
spam che esce numeroso dai suoi utenti non risponde praticamente mai.
Personalmente uso questo:
https://mailfence.com/it/?src=onenet
Luigi Derossi
May 12, 2023, 3:25:47 PM5/12/23
to
Il giorno venerdì 12 maggio 2023 alle 20:19:27 UTC+2 Gabriele - onenet ha scritto:
>
> Ma sei proprio proprio sicuro che gli avvisi che hai ricevuti fossero di
> Twitter? Posta gli header completi.
buona domanda
>
> Ma sei proprio proprio sicuro che gli avvisi che hai ricevuti fossero di
> Twitter? Posta gli header completi.
eccoli (ho sostituito il mio indirizzo con aaaa...@tiscali.it)
Return-Path: <n04816c762d-70584487d3824da8-aaaa.bbbb===tisca...@bounce.twitter.com>
Delivered-To: aaaa...@tiscali.it
Received: from director-1.mail.tiscali.sys ([10.39.80.171])
by dovecot-21.mail.tiscali.sys with LMTP
id qP2kCuJBVGQEPxkAwCWesA:T115:P1
(envelope-from <n04816c762d-70584487d3824da8-aaaa.bbbb===tisca...@bounce.twitter.com>)
for <aaaa...@tiscali.it>; Thu, 04 May 2023 23:39:35 +0000
Received: from cmgw-1.mail.tiscali.it ([10.39.80.171])
by director-1.mail.tiscali.sys with LMTP
id qP2kCuJBVGQEPxkAwCWesA:T115
(envelope-from <n04816c762d-70584487d3824da8-alba.lunga===tisca...@bounce.twitter.com>)
for <aaaa...@tiscali.it>; Thu, 04 May 2023 23:39:35 +0000
Received: from spring-chicken-af.twitter.com ([199.16.156.145])
by cmgw-1.mail.tiscali.it with
id snfa2900E38Vq3r01nfay8; Thu, 04 May 2023 23:39:35 +0000
X-Spam-Final-Verdict: clean
X-Spam-Cause: gggruggvucftvghtrhhoucdtuddrgedvhedrfeefuddgvdeiucetufdoteggodetrfdotffvucfrrhhofhhilhgvmecuvffkufevtefnkfenuceurghilhhouhhtmecufedttdenucfuohgtihgrlhfpvghtfihorhhkqddquffpueihhfhrohhmffhomhculddutddmnecujfgurhepfffhvffugggtkfesrgdtregstddtjeenucfhrhhomhepvfifihhtthgvrhcuoehinhhfohesthifihhtthgvrhdrtghomheqnecuggftrfgrthhtvghrnhepgedvhfefffeuledufeevhefhieehieehleeltdffgfeijeefleelgeeivdethfeinecuffhomhgrihhnpehtfihithhtvghrrdgtohhmnecukfhppeduleelrdduiedrudehiedrudegheenucevlhhushhtvghrufhiiigvpedtnecurfgrrhgrmhepihhnvghtpeduleelrdduiedrudehiedrudeghedphhgvlhhopehsphhrihhnghdqtghhihgtkhgvnhdqrghfrdhtfihithhtvghrrdgtohhmpdhmrghilhhfrhhomhepnhdtgeekudeitgejiedvugdqjedtheekgeegkeejugefkedvgegurgekqdgrlhgsrgdrlhhunhhgrgeppeepthhishgtrghlihdrihhtsegsohhunhgtvgdrthifihhtthgvrhdrtghomhdpnhgspghrtghpthhtohepuddprhgtphhtthhopegrlhgsrgdrlhhunhhgrgesthhishgtrghlihdrihhtpdhsvhgtpehinhdrthhishgtrghlihdrihht
X-Spam-State: 13
X-Spam-Score: 10
X-Spam-Verdict: community:social
X-Tiscali-SPF-Pass: TRUE
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=twitter.com;
s=dkim-201406; t=1683243566;
bh=PcjDHT9ITard+zS7mkkoy+3zDmpvHG+qknboj/FfA7E=;
h=Date:From:To:Subject:MIME-Version:Content-Type:Message-ID;
b=MAFV8Qhxolw8RS262UK1Vu1lJUyRZLuSUm/MOQruAvkx5Fj+UjYIhIq3zBV0uoYMs
zsDPTeRhQ7JuBPbeVpE+l43f1Tjv1WABCSeYE8PNMoLxQ0NM8OV1p+FrgHB9FKdGzo
TxYqQK9RAoJhElJRyGaMdsGIZRhQhEb5yrGhG9Obim46OkO3YvmVsE181sRkLDDfks
TSHOuR1rS11O8nxllYE43rsS44jd257uU2l/7uzDsgBcjxhTYjI5YYIvj2alqKv31S
pBw1Gk54lOPPNTQ44M82paL9o/Jq2pbLu4Tcm5JDf4f1DCP+5jNkbFmsLJuxy9y2Sc
FGXJt1VdKHW4Q==
X-MSFBL: WZXIpKKfPvk6siRa8pqKZuOI/aU6lN3Gn4YlC0koThA=|eyJnIjoiQnVsayIsImI
iOiJhdGxhLWxnZC0wNi1zcjEtQnVsay4xNjUiLCJ1IjoiYWxiYS5sdW5nYUB0aXN
jYWxpLml0QGlpZCMjNzA1ODQ0ODdkMzgyNGRhOGJlOWIyN2RjY2IzYmMyZjdAdXN
iIyMyNEAyOTZAODQ1OTM2MzE0NTg3NTE2OTI4QDBAZTc1NTk5OTg0Y2MyNzQwNzM
zNTU5YmU4YmYyZGNkNGZhYzRhMGRiZiIsInIiOiJhbGJhLmx1bmdhQHRpc2NhbGk
uaXQifQ==
Date: Thu, 04 May 2023 23:39:26 +0000
From: Twitter <in...@twitter.com>
To: Luigi Derossi <aaaa...@tiscali.it>
Subject: Your Twitter confirmation code is 4jqa3nz5
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_Part_30109339_2114745271.1683243566027"
X-Twitter-CID: ibis2-acid_receive_email_challenge_email
Message-ID: <7A.1D.0422...@twitter.com>
Feedback-ID: atla.2167f56461854552bf95f853c95d334d:Twitter
rootkit
May 12, 2023, 3:51:05 PM5/12/23
to
Il Fri, 12 May 2023 18:47:58 GMT, Gabriele - onenet ha scritto:
> NB. a me non piace affatto Gmail in generale, anche perché quando
> segnali lo spam che esce numeroso dai suoi utenti non risponde
> praticamente mai.
>
> Personalmente uso questo:
> https://mailfence.com/it/?src=onenet
sto valutando da un po' di tempo la versione free. devo dire che ci sto
> NB. a me non piace affatto Gmail in generale, anche perché quando
> segnali lo spam che esce numeroso dai suoi utenti non risponde
> praticamente mai.
>
> Personalmente uso questo:
> https://mailfence.com/it/?src=onenet
pensando, anch'io pur avendo gmail (peraltro su 2 domini ho la gsuite
gratuita, che dovevano dismettere ma poi per l'uso personale ci hanno
ripensato) non sono un suo tifoso. non la butto via ma probabilmente a
breve farò l'upgrade e passerò a mailfence per le cose serie.
TJL73
May 14, 2023, 12:53:25 PM5/14/23
to
Quando chiesi chi disturbava il mio riposo, "Luigi Derossi" rispose:
> > Basta crearne semplicemente uno con la regola universale:
> >
> > | Corrispondenze: from:(@)
> > | Azione da eseguire: Non inviare mai a Spam
>
> >
> > | Corrispondenze: from:(@)
> > | Azione da eseguire: Non inviare mai a Spam
>
> Ho impostato il filtro come dici tu poi ho inoltrato una mail di spam
> da Tiscali a Gmail. Su Gmail non è visibile da nessuna parte neppure
> nella cartella spam,
Strano. Io con quella tecnica ho creato più "alias" che inoltrano tutti
> da Tiscali a Gmail. Su Gmail non è visibile da nessuna parte neppure
> nella cartella spam,
ad un'unica casella mail (sempre su GMail) e in quelle "alias" non trovo
mai nulla in "spam", mentre càpita di trovarne in quella della casella
di destinazione finale.
Mi spiace che a te non funzioni.
Ciao,
un TJL73 che ormai le ha attive da parecchi anni...
--
"L'indifferenza è il miglior modo per farti capire
che non conti nulla."
ObiWan
May 15, 2023, 4:43:08 AM5/15/23
to
:: On Fri, 12 May 2023 18:42:59 -0000 (UTC)
:: (it.comp.sicurezza.varie)
:: <u3m1bj$1onud$1...@dont-email.me>
NON vanno criptate e NON vanno salvate, quello che il server deve
memorizzare non è la password ma il salted hash (ed il salt) della
stessa ed il salt deve essere toralmente random e diverso per ciascun
account
In pratica, alla creazione dell'account vengono immessi in un form
(protetto tramite SSL/TLS) le credenziali, ossia utente e password,
quando l'utente conferma il server genera un valore "salt" totalmente
casuale e di congrua lunghezza, lo accoda alla password e quindi
calcola un hash (es. SHA-2) e tale hash viene quindi memorizzato
insieme al nome utente ed al salt
Al successivo logon (sempre protetto da SSL/TLS, mai in chiaro) il
server riceve utente e password, a questo punto, cerca l'utente e
recupera il "salt" memorizzato, lo accoda alla password immessa e
calcola l'hash risultante, poi confronta tale hash con quello che era
stato memorizzato in precedenza e, se i due corrispondono, consente
l'accesso
nel caso in cui il database delle credenziali venga "rubato" l'hash non
permetterà un recupero diretto delle password (dato che non si tratta
di un sistema crittografico reversibile) e l'uso del "salt" aumenterà
in maniera esponenziale i tempi necessari per tentare di "craccare" una
password, fosse pure usando "rainbow tables" o simili
Provo a fare un esempio, diciamo che il nostro account ha come utente
"pippo" e come password "F3rr4ri.2023", alla creazione dell'account il
server genera un "salt" casuale, diciamo che sia
"DH!6K@T`'/!AkN6A?#vBX$L:?Wz*e8FA"
quindi aggiunge il salt alla password, ottenendo qualcosa di questo tipo
"F3rr4ri.2023::DH!6K@T`'/!AkN6A?#vBX$L:?Wz*e8FA"
il "::" è solo una mia aggiunta, può essere omesso o si possono
utilizzare altri caratteri, non è un problema, fatto questo, il server
va a calcolare l'hash della stringa di cui sopra, supponendo di usare
SHA-256 il risultato sarà
"544016e3ac0d6815b0c75478bf64c4dbcb5d8a648d7a82419dbd3fe820f4e7cf"
a questo punto, il server salva nel DB delle credenziali le seguenti
informazioni (e magari anche altre)
utente=pippo
passwd=544016e3ac0d6815b0c75478bf64c4dbcb5d8a648d7a82419dbd3fe820f4e7cf
salt=DH!6K@T`'/!AkN6A?#vBX$L:?Wz*e8FA
al successivo logon l'utente immette nome e password (su canale
protetto da SSL/TLS), il server va a cercare l'utente ("pippo" nel
nostro esempio) nel database e, se lo trova, recupera il "salt" e, con
quello ricalcola l'hash della password immessa, se questo corrisponde
all'hash memorizzato, viene permesso l'accesso
Da notare che un livello aggiuntivo di sicurezza è quello di usare per
la validazione un server separato e NON esposto su internet, in tal
caso la registrazione utente vista sopra e la validazione credenziali
verranno effettuate dal server di frontend (esposto su internet)
tramite chiamate a WEB services ed il DB non verrà MAI esposto dal
frontend che NON avrà alcun accesso allo stesso, se non tramite le
chiamate ai necessari WEB services
:: (it.comp.sicurezza.varie)
:: <u3m1bj$1onud$1...@dont-email.me>
:: rootkit <roo...@email.it> wrote:
> poco tempo fa utenti segnalavano chiari indizi che si salvavano le
> password in chiaro (banalmente consentiva agli utenti di recuperarla).
Beh, potevano anche salvarle criptate, ma il punto è che le password
> poco tempo fa utenti segnalavano chiari indizi che si salvavano le
> password in chiaro (banalmente consentiva agli utenti di recuperarla).
NON vanno criptate e NON vanno salvate, quello che il server deve
memorizzare non è la password ma il salted hash (ed il salt) della
stessa ed il salt deve essere toralmente random e diverso per ciascun
account
In pratica, alla creazione dell'account vengono immessi in un form
(protetto tramite SSL/TLS) le credenziali, ossia utente e password,
quando l'utente conferma il server genera un valore "salt" totalmente
casuale e di congrua lunghezza, lo accoda alla password e quindi
calcola un hash (es. SHA-2) e tale hash viene quindi memorizzato
insieme al nome utente ed al salt
Al successivo logon (sempre protetto da SSL/TLS, mai in chiaro) il
server riceve utente e password, a questo punto, cerca l'utente e
recupera il "salt" memorizzato, lo accoda alla password immessa e
calcola l'hash risultante, poi confronta tale hash con quello che era
stato memorizzato in precedenza e, se i due corrispondono, consente
l'accesso
nel caso in cui il database delle credenziali venga "rubato" l'hash non
permetterà un recupero diretto delle password (dato che non si tratta
di un sistema crittografico reversibile) e l'uso del "salt" aumenterà
in maniera esponenziale i tempi necessari per tentare di "craccare" una
password, fosse pure usando "rainbow tables" o simili
Provo a fare un esempio, diciamo che il nostro account ha come utente
"pippo" e come password "F3rr4ri.2023", alla creazione dell'account il
server genera un "salt" casuale, diciamo che sia
"DH!6K@T`'/!AkN6A?#vBX$L:?Wz*e8FA"
quindi aggiunge il salt alla password, ottenendo qualcosa di questo tipo
"F3rr4ri.2023::DH!6K@T`'/!AkN6A?#vBX$L:?Wz*e8FA"
il "::" è solo una mia aggiunta, può essere omesso o si possono
utilizzare altri caratteri, non è un problema, fatto questo, il server
va a calcolare l'hash della stringa di cui sopra, supponendo di usare
SHA-256 il risultato sarà
"544016e3ac0d6815b0c75478bf64c4dbcb5d8a648d7a82419dbd3fe820f4e7cf"
a questo punto, il server salva nel DB delle credenziali le seguenti
informazioni (e magari anche altre)
utente=pippo
passwd=544016e3ac0d6815b0c75478bf64c4dbcb5d8a648d7a82419dbd3fe820f4e7cf
salt=DH!6K@T`'/!AkN6A?#vBX$L:?Wz*e8FA
al successivo logon l'utente immette nome e password (su canale
protetto da SSL/TLS), il server va a cercare l'utente ("pippo" nel
nostro esempio) nel database e, se lo trova, recupera il "salt" e, con
quello ricalcola l'hash della password immessa, se questo corrisponde
all'hash memorizzato, viene permesso l'accesso
Da notare che un livello aggiuntivo di sicurezza è quello di usare per
la validazione un server separato e NON esposto su internet, in tal
caso la registrazione utente vista sopra e la validazione credenziali
verranno effettuate dal server di frontend (esposto su internet)
tramite chiamate a WEB services ed il DB non verrà MAI esposto dal
frontend che NON avrà alcun accesso allo stesso, se non tramite le
chiamate ai necessari WEB services
rootkit
May 15, 2023, 5:42:41 AM5/15/23
to
Il Mon, 15 May 2023 10:40:58 +0200, ObiWan ha scritto:
>> poco tempo fa utenti segnalavano chiari indizi che si salvavano le
>> password in chiaro (banalmente consentiva agli utenti di recuperarla).
>
> Beh, potevano anche salvarle criptate, ma il punto è che le password NON
> vanno criptate e NON vanno salvate, quello che il server deve
> memorizzare non è la password ma il salted hash (ed il salt) della
> stessa ed il salt deve essere toralmente random e diverso per ciascun
> account
in generale quando si parla di "salvare password criptate" si intende
>> poco tempo fa utenti segnalavano chiari indizi che si salvavano le
>> password in chiaro (banalmente consentiva agli utenti di recuperarla).
>
> Beh, potevano anche salvarle criptate, ma il punto è che le password NON
> vanno criptate e NON vanno salvate, quello che il server deve
> memorizzare non è la password ma il salted hash (ed il salt) della
> stessa ed il salt deve essere toralmente random e diverso per ciascun
> account
salvarne l'hash. anche perché l'hashing è crittografia, seppure non
reversibile.
ObiWan
May 15, 2023, 6:30:45 AM5/15/23
to
:: On Mon, 15 May 2023 09:40:37 -0000 (UTC)
:: (it.comp.sicurezza.varie)
:: <u3suml$30m0g$1...@dont-email.me>
:: (it.comp.sicurezza.varie)
:: <u3suml$30m0g$1...@dont-email.me>
:: rootkit <roo...@email.it> wrote:
> in generale quando si parla di "salvare password criptate" si intende
> salvarne l'hash. anche perché l'hashing è crittografia, seppure non
> reversibile.
il punto fondamentale è proprio quel "non reversibile" :)
> in generale quando si parla di "salvare password criptate" si intende
> salvarne l'hash. anche perché l'hashing è crittografia, seppure non
> reversibile.
rootkit
May 15, 2023, 6:46:02 AM5/15/23
to
crittografia diversa da algoritmo di hashing.
ObiWan
May 15, 2023, 6:52:19 AM5/15/23
to
:: On Mon, 15 May 2023 10:43:45 -0000 (UTC)
:: (it.comp.sicurezza.varie)
:: <u3t2d1$31fou$1...@dont-email.me>
:: (it.comp.sicurezza.varie)
:: <u3t2d1$31fou$1...@dont-email.me>
:: rootkit <roo...@email.it> wrote:
> era solo per puntualizzare che non ho mai ipotizzato, per le
> password, una crittografia diversa da algoritmo di hashing.
Ho visto cose che voi umani... :)
> era solo per puntualizzare che non ho mai ipotizzato, per le
> password, una crittografia diversa da algoritmo di hashing.
ObiWan
May 17, 2023, 3:16:58 AM5/17/23
to
:: On Tue, 16 May 2023 16:35:11 -0000 (UTC)
:: (it.comp.sicurezza.varie)
:: <u40bbv$3c6jn$8...@dont-email.me>
:: rootkit <roo...@email.it> wrote:
> > E' solo un workaround, la "security through obscurity" non
> > funziona, e la cosa è provata
> stai pignoleggiando :-) non si può parlare di "security by obscurity"
beh, in parte lo è, dato che l'idea e tentare di "nascondere" un dato
> perché a questa cosa non sarebbe delegata la sicurezza, alla fine
> della fiera è solo un dato palese che viene reso meno accessibile. se
> l'attaccante lo trova amen, non è compromesso.
> poi sugli aspetti pratici e la fattibilità ne ho parlato dopo.
come scrivevo in altro post, il discorso è anche quello di fare in modo
che se l'attaccante arriva "sul sistema" non trovi sullo stesso dati
utili, ossia spostare i dati ad un altro livello e renderli accessibili
solo tramite il "buco della serratura" in modo che l'attaccante non
solo non abbia accesso diretto all'intera mole di dati, ma che
l'accesso ai dati sia limitato/complicato, alla fine anche i tempi in
questi casi contano, e parecchio
:: (it.comp.sicurezza.varie)
:: <u40bbv$3c6jn$8...@dont-email.me>
:: rootkit <roo...@email.it> wrote:
> > E' solo un workaround, la "security through obscurity" non
> > funziona, e la cosa è provata
> stai pignoleggiando :-) non si può parlare di "security by obscurity"
beh, in parte lo è, dato che l'idea e tentare di "nascondere" un dato
> perché a questa cosa non sarebbe delegata la sicurezza, alla fine
> della fiera è solo un dato palese che viene reso meno accessibile. se
> l'attaccante lo trova amen, non è compromesso.
> poi sugli aspetti pratici e la fattibilità ne ho parlato dopo.
come scrivevo in altro post, il discorso è anche quello di fare in modo
che se l'attaccante arriva "sul sistema" non trovi sullo stesso dati
utili, ossia spostare i dati ad un altro livello e renderli accessibili
solo tramite il "buco della serratura" in modo che l'attaccante non
solo non abbia accesso diretto all'intera mole di dati, ma che
l'accesso ai dati sia limitato/complicato, alla fine anche i tempi in
questi casi contano, e parecchio
Gabriele - onenet
May 17, 2023, 4:01:15 PM5/17/23
to
Grazie!
TJL73
May 19, 2023, 10:42:13 AM5/19/23
to
Quando chiesi chi disturbava il mio riposo, "ObiWan" rispose:
> > in teoria comunque quello che dici potrebbe avere senso, cioè tenere
> > segreto anche il salt vorrebbe dire, sempre in teoria, una maggiore
in quanto il salt casuale generato per il singolo account sarebbe
assimilabile a "una parte della chiave". Ovviamente, la chiave deve
essere segreta per definizione e mantenere segreta la chiave non può
essere considerato "security through obscurity". ;-)
Ciao,
un TJL73 che lo è, invece, per le altre componenti...
--
"Contare sul segreto dell'algoritmo [crittografico] è un grosso errore.
Ci sono montagne di letteratura a riguardo,
inutile affrontare il discorso ancora una volta."
-- Cristiano su ICSC
> > in teoria comunque quello che dici potrebbe avere senso, cioè tenere
> > segreto anche il salt vorrebbe dire, sempre in teoria, una maggiore
>
> E' solo un workaround, la "security through obscurity" non funziona, e
> la cosa è provata
In questo caso, non si tratterebbe di "security through obscurity",
> E' solo un workaround, la "security through obscurity" non funziona, e
> la cosa è provata
in quanto il salt casuale generato per il singolo account sarebbe
assimilabile a "una parte della chiave". Ovviamente, la chiave deve
essere segreta per definizione e mantenere segreta la chiave non può
essere considerato "security through obscurity". ;-)
Ciao,
un TJL73 che lo è, invece, per le altre componenti...
--
"Contare sul segreto dell'algoritmo [crittografico] è un grosso errore.
Ci sono montagne di letteratura a riguardo,
inutile affrontare il discorso ancora una volta."
-- Cristiano su ICSC
0 new messages